Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr an einem bestimmten Anschluss

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 224196 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Standardmäßig erfolgt die RPC-basierte Active Directory-Replikation (Remote Procedure Calls, RPC = Remoteprozeduraufrufe) dynamisch über einen verfügbaren Anschluss mit der RPC-Endpunktzuordnung (RPCSS) unter Verwendung von Anschluss 135. Hierbei handelt es sich um denselben Prozess wie in Microsoft Exchange. Durch dieses Verfahren wird der Port gesperrt.

Wenn Sie mithilfe der im Abschnitt "Weitere Informationen" dieses Artikels genannten Registrierungsschlüssel Ports für die Replikation angeben, sendet die Endpunktzuordnung sowohl den serverseitigen Active Directory-Replikationsverkehr als auch den Client-RPC-Verkehr an diese Ports. Diese Konfiguration ist möglich, weil alle von Active Directory unterstützten RPC-Schnittstellen auf allen Anschlüssen ausgeführt werden, die das Active Directory abhört.

Hinweis Dieser Artikel besagt nicht, dass die Replikation über einen Firewall stattfinden kann. Es müssen zusätzliche Anschlüsse geöffnet werden, damit dies funktioniert Beispielsweise müssen zusätzliche Anschlüsse für das Kerberos-Protokoll geöffnet werden. Eine vollständige Liste der erforderlichen Anschlüsse für Dienste über einen Firewall finden Sie im folgenden Artikel der Microsoft Knowledge Base:
832017 Dienstübersicht und Netzwerkportanforderungen für das Windows Server-System

Weitere Informationen

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows XP
Beim Herstellen einer Verbindung zu einem RPC-Endpunkt kontaktiert die RPC-Laufzeit auf dem Client die RPC-Endpunktzuordnung (RPCSS) auf dem Server über einen bekannten Port (135), und fragt den Port ab, mit dem die Verbindung zu dem Dienst hergestellt werden kann, der die gewünschte RPC-Schnittstelle unterstützt. Hierbei wird angenommen, dass der Client nicht die vollständige Bindung kennt (dies ist bei allen AD RPC-Diensten der Fall)

Der Dienst registriert einen oder mehrere Endpunkte beim Starten und hat die Auswahl zwischen einem dynamisch zugewiesenen Port oder einem bestimmten Port.

Wenn Sie Active Directory und Netlogon wie im nachstehenden Registrierungsschlüssel für die Ausführung auf "Port x" konfigurieren, werden diese Ports neben dem standardmäßigen dynamischen Port von der Endpunktzuordnung registriert.

Ändern Sie mithilfe des Registrierungs-Editors die folgenden Werte auf jedem Domänencontroller, auf dem die eingeschränkten Ports verwendet werden sollen: Mitgliedsserver werden nicht als Anmeldeserver betrachtet, daher wirkt sich eine statische Portzuordnung für NTDS und Netlogon nicht auf sie aus.

Registrierungsschlüssel 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Registrierungswert: TCP/IP-Anschluss
Typ: REG_DWORD
Wert: (verfügbarer Port)

Registrierungsschlüssel 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Registrierungswert: DCTcpipPort
Typ: REG_DWORD
Wert: (verfügbarer Port)
Wenn "TCP/IP-Port" verwendet wird, verwenden alle in "Lsass.exe" ausgeführten RPC-Server diesen Port. Das schließt die Netlogon-RPC-Schnittstelle ein. Daher wird die "DCTcpipPort"-Einstellung für die meisten Bereitstellungen nicht benötigt. Es empfiehlt sich, die "DCTcpipPort"-Einstellung nur festzulegen, wenn Sie dringend einen Port verwenden müssen, der von den anderen in "Lsass.exe" ausgeführten RPC-Schnittstellen abweicht.

Administratoren sollten sicherstellen, dass die Kommunikation über den angegebenen Port aktiviert ist, falls zwischengeschaltete Netzwerkgeräte oder Software zum Filtern von Paketen zwischen den Domänencontrollern verwendet werden.

Hinweis Wenn Sie den Registrierungseintrag "DCTcpipPort" verwenden und auf denselben Port wie den Registrierungseintrag "TCP/IP-Port" festlegen, wird unter "NTDS\Parameters" Netlogon-Fehlerereignis 5809 angezeigt. Dies weist darauf hin, dass der konfigurierte Port zurzeit verwendet wird. In diesem Fall sollten Sie den Registrierungseintrag "DCTcpipPort" entfernen. Dasselbe Ereignis wird angezeigt, wenn Sie über einen eindeutigen Port verfügen und den Netlogon-Dienst auf dem Domänencontroller neu starten. Es handelt sich hierbei um ein beabsichtigtes Verhalten, das aufgrund der Art auftritt, wie die RPC-Laufzeit ihre Serverports verwaltet. Der Port für Netlogon ist in der Laufzeit noch registriert, selbst wenn Sie den Netlogon-Dienst beenden. Der Anschluss wird nach dem Neustart wiederverwendet, und das Ereignis kann ignoriert werden.

Häufig müssen Sie außerdem den RPC-Anschluss für den Dateireplikationsdienst (File Replication Service, FRS) manuell einstellen, weil die Active Directory- und FRS-Replikation mit denselben Domänencontrollern erfolgt. Für den RPC-Port des Dateireplikationsdiensts (File Replication Service, FRS) sollte ein anderer Port verwendet werden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
319553 Beschränken des FRS-Replikationsverkehrs auf einem bestimmten statischen Port

Wenn Sie für die Active Directory-Replikation einen festen Anschluss außerhalb des für RPC-Anschlüsse zulässigen Bereichs einstellen, um den Zugriff und die Anmeldungen über einen Firewall zu überwachen, müssen der Replikationsanschluss sowie die dynamischen RPC-Anschlüsse des Firewalls geöffnet werden, um Zugriffe und Anmeldungen zu ermöglichen. Dies ist notwendig, weil der Anmeldevorgang den Replikationsanschluss für die Benutzerzuordnung verwendet.

Sie möchten für die Active Directory-Replikation eventuell einen festen Port außerhalb des für RPC-Ports zulässigen Bereichs einstellen, um die Zugriffe und Anmeldungen über einen Firewall zu überwachen. Hierzu müssen jedoch der Replikations- und der Netlogon-Port in der Firewall geöffnet werden. Dies ist notwendig, weil der Anmeldevorgang den Replikationsanschluss für die Benutzerzuordnung verwendet.
Weitere Informationen zur RPC-Endpunktzuordnung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
154596 Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz

Eigenschaften

Artikel-ID: 224196 - Geändert am: Freitag, 14. Mai 2010 - Version: 12.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbenv kbinfo KB224196
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com